Ze skargami dotyczącymi działań Mety (do której należy m.in. Facebook i Instagram) wystąpiło NOYB (ang. none of your business), organizacja non-profit, która jest znana z działań mających na celu egzekwowanie prawa do prywatności w Europie. Skierowała je do 11 organów zajmujących się ochroną danych w Europie – m.in. do polskiego Urzędu Ochrony Danych Osobowych – zwracając się o wszczęcie pilnej procedury, mającej na celu wstrzymanie działań Mety. Czasu nie zostało dużo, nowa polityka przedsiębiorstwa ma bowiem wejść w życie już 26 czerwca br.

Ryzyko naruszenia danych milionów użytkowników

Oprócz Polski, skargi zostały skierowane również do: Austrii, Belgii, Francji, Niemiec, Grecji, Włoch, Irlandii, Holandii, Norwegii i Hiszpanii. W najbliższych dniach mają trafić do pozostałych państw członkowskich UE. Jak wskazano w skardze skierowanej do polskiego UODO, organizacja uważa, że może dojść do „nieodwracalnego wykorzystania całych zbiorów danych ponad 400 milionów użytkowników z UE i Europejskiego Obszaru Gospodarczego (EOG) do nieokreślonych technologii „sztucznej inteligencji”, bez żadnych wskazań co do celów tych systemów”. Zarzuca przy tym Mecie potencjalną możliwość naruszenia co najmniej kilku przepisów europejskiego rozporządzenia o ochronie danych (RODO).

Jak tłumaczy Alicja Łopacińska, radca prawny i associate w kancelarii KWKR, problem polega na tym, że Meta zamierza wykorzystywać wszystkie dane użytkowników, które zostały zgromadzone od początku istnienia Facebooka. Nie ma przy tym znaczenia, czy były one udostępniane publicznie (a więc widoczne nawet dla tych, którzy nie mieli konta na portalu), czy ustawione jako prywatne (takie, które może zobaczyć tylko konkretne grono znajomych z platformy). Meta zaznaczyła przy tym, że nie ma możliwości oddzielenia danych, które są uznawane za wrażliwe (takie jak poglądy polityczne, pochodzenie itp.). Dodatkowym problemem jest sytuacja, w której wykorzystywane będą np. zdjęcia osób, które nie mają konta na portalu, ale ich wizerunek został udostępniony przez innego użytkownika.

- Wszystkie dane trafią przy tym „do jednego worka”, a na dodatek Meta nie określa celu, w jakim będą one przetwarzane. A skoro tego nie robi, można założyć, że dane będą wykorzystywane szeroko. Na dodatek Meta chce oprzeć się na uzasadnionym interesie administratora, co w praktyce oznacza, że sytuacja jest odwrócona: użytkownik nie będzie musiał zgadzać się na wykorzystywanie danych, będzie mógł ewentualnie wyrazić sprzeciw – zaznacza mec. Łopacińska.

Czytaj też: Ochrona danych to o wiele więcej niż tylko sztuczna inteligencja

Prawo sztucznej inteligencji i nowych technologii 3

Bogdan Fischer, Adam Pązik, Marek Świerczyński

Sprawdź  

Sprzeciw, a nie zgoda

A to, oczywiście, dużo większy problem. Jako użytkownicy nie będziemy mieli bowiem do czynienia z komunikatem - tak, jak zazwyczaj wygląda to przy zgodzie na przetwarzanie danych, a najprawdopodobniej z bardziej skomplikowanym formularzem. To przykład wykorzystania tzw. klauzuli „opt-out” (w swobodnym tłumaczeniu „wypisania się”), zamiast „opt-in” (czyli wyrażenia zgody). NOYB zarzuca przy tym Mecie, że stosuje działania zniechęcające użytkowników do korzystania z formularzy sprzeciwu, poprzez wykorzystanie nieprzyjaznych interfejsów.

Kluczowy jest też czas, którego zostało niewiele – spora część użytkowników może w ogóle nie wiedzieć o działaniach platformy.

- Trzeba przy tym pamiętać, że mówimy również np. o danych nieaktywnych kont, wszystkich, które trafiły do zasobów platformy od początku jej istnienia – wskazuje Mariusz Purgał, adwokat i partner w kancelarii KWKR.

Oboje prawnicy podkreślają, że oparcie tak dużej ingerencji w dane użytkowników i wykorzystanie ich do algorytmu sztucznej inteligencji jest co najmniej wątpliwe z punktu widzenia ochrony danych. Trzeba też pamiętać, że skutki będą bardzo trudne do odwrócenia – jeśli dane raz trafią do algorytmu, w zasadzie niemożliwe będzie ich wycofanie. Nie pomoże nawet usunięcie konta na portalu, bo dane i tak zostaną w pamięci serwerów.

Nie mogliśmy przewidzieć rozwoju sztucznej inteligencji 

Eksperci wskazują również na znaczenie szybkiego postępu technologicznego. 

- Jednym z istotnych elementów, który trzeba wziąć pod uwagę w tej sprawie, jest zasada ograniczenia celu. Jest ona rozumiana w ten sposób, że jeśli dane użytkownika były zebrane w jakimś konkretnym celu – na przykład na potrzeby wykonywania umowy między Facebookiem a użytkownikami, zakładającej umożliwienie korzystania z portalu – to przetwarzane również powinny być zasadniczo w tym obszarze. Każda zmiana celu, o której użytkownik nie był wcześniej informowany, podlega regułom wskazanym w art. 6 ust. 4 RODO – wyjaśnia Witold Chomiczewski, radca prawnik i wspólnik w kancelarii Lubasz i Wspólnicy.

Jak zaznacza ekspert, w tym kontekście można mieć więc wątpliwości, czy działanie Mety będzie zgodne z prawem ochrony danych. Trudno bowiem zakładać, że przeciętny użytkownik Facebooka przy zakładaniu konta brał pod uwagę, że jego prywatne zdjęcia czy posty zostaną w przyszłości wykorzystane w celu treningu systemu sztucznej inteligencji. Już sama ta okoliczność stawia pod dużym znakiem zapytania możliwość powołania się na przesłankę prawnie uzasadnionego interesu administratora. W tym kontekście problematyczna jest również ochrona danych szczególnych kategorii (czyli, mówiąc potocznie, wrażliwych). Z samych zdjęć zamieszczanych przez użytkownika można bowiem nierzadko wywnioskować, jakie są jego poglądy polityczne, przekonania światopoglądowe, czy religijne. Trzeba pamiętać, że przetwarzanie danych osobowych szczególnych kategorii nie może następować na podstawie prawnie uzasadnionego interesu administratora.

- Patrząc na wszystkie aspekty tej sprawy, moim zdaniem najbardziej właściwe byłoby jednak, aby Meta prosiła użytkowników o zgodę na wykorzystanie ich danych, a nie opierała się na klauzuli opt-out – mówi mec. Chomiczewski.

W sprawie głos zabrał m.in. norweski urząd zajmujący się ochroną danych (Norwegian Data Protection Authority). W komunikacie  wytłumaczono użytkownikom, w jaki sposób mogą wyrazić sprzeciw wobec wykorzystania danych przez Metę. Zaznaczono również, że urząd otrzymał wiele pytań o zgodność takich działań z prawem ochrony danych. W komunikacie wskazano, że zdaniem specjalistów jest to "wątpliwe", a najbardziej naturalnym i racjonalnym rozwiązaniem byłoby pytanie użytkowników o zgodę. Jednocześnie eksperci urzędu zaznaczają, że trudno jednak jednoznacznie rozstrzygnąć tę kwestię, bo w tym zakresie nie miała jeszcze szansy ukształtować się żadna praktyka. Norweski urząd zaznaczył, że wpłynęła do nich skarga skierowana przez NYOB, i że jest ona analizowana. 

- Traktujemy skargę poważnie i nadajemy jej wysoki priorytet. Będziemy ściśle współpracować z naszymi europejskimi kolegami przy dalszym prowadzeniu tej sprawy - mówi Line Coll, dyrektor Norwegian Data Protection Authority. 

Skargi skierowane, ale szanse na wstrzymanie  - niewielkie

W skardze skierowanej do NYOB wskazano również, że Meta sama przyznaje, że przetwarzanie danych osobowych jest nieodwracalne i nie jest w stanie spełnić „prawa do bycia zapomnianym” w przypadku, gdy dane osobowe zostaną wchłonięte przez (nieokreśloną) „technologię sztucznej inteligencji”. Dlatego apeluje o wykorzystanie w pierwszej kolejności środków tymczasowych na podstawie art. 66 RODO. Prawnicy zaznaczają jednak, że na to nie ma zbyt wielkiej szansy, a skargi mogą posłużyć raczej za sygnał – tak, by sprawą zajęła się Europejska Rada Ochrony Danych.

- Odczytywałbym przesłanie skarg do różnych europejskich organów nadzoru jako próbę wywarcia presji, natomiast nie jestem przekonany, że formalnie do 26 czerwca uda się rzeczywiście wstrzymać działania Mety. Musiałby bowiem zareagować irlandzki organ nadzoru, któremu podlega platforma, a raczej nie ma na to zbyt dużej szansy. Potrzebna byłaby bowiem formalna decyzja, z możliwością odwołania, a oficjalna droga jednak trochę trwa. Nastawiałbym się więc raczej na kontrolę następczą – wskazuje mec. Purgał.